O assalto teve como alvo caixas eletrônicos vendidos pela General Bytes, uma empresa com vários locais em todo o mundo. Esses BATMs, abreviação de caixas eletrônicos bitcoin, podem ser configurados em lojas de conveniência e outras empresas para permitir que as pessoas troquem bitcoin por outras moedas e vice-versa. Os clientes conectam os BATMs a um servidor de aplicativos de criptografia (CAS) que eles podem gerenciar ou, até agora, que a General Bytes poderia gerenciar para eles. Por razões que não são totalmente claras, os BATMs oferecem uma opção que permite aos clientes fazer upload de vídeos do terminal para o CAS usando um mecanismo conhecido como interface do servidor mestre.
No fim de semana, a General Bytes revelou que mais de US $ 1,5 milhão em bitcoin foram drenados de CASes operados pela empresa e por clientes. Para realizar o assalto, um agente de ameaça desconhecido explorou uma vulnerabilidade anteriormente desconhecida que lhe permitia usar essa interface para carregar e executar um aplicativo Java mal-intencionado. O ator então drenou várias carteiras quentes de cerca de 56 BTC, no valor de cerca de US $ 1,5 milhão. A General Bytes corrigiu a vulnerabilidade 15 horas depois de saber dela, mas devido à maneira como as criptomoedas funcionam, as perdas eram irrecuperáveis.
Funcionários da General Bytes escreveram:
A noite de 17 para 18 de março foi o momento mais desafiador para nós e alguns de nossos clientes. Toda a equipe tem trabalhado o tempo todo para coletar todos os dados sobre a violação de segurança e está trabalhando continuamente para resolver todos os casos para ajudar os clientes a voltar on-line e continuar a operar seus caixas eletrônicos o mais rápido possível. Pedimos desculpas pelo que aconteceu e revisaremos todos os nossos procedimentos de segurança e estamos atualmente fazendo tudo o que podemos para manter nossos clientes afetados à tona.
O post dizia que o fluxo do ataque era:
1. O invasor identificou uma vulnerabilidade de segurança na interface de serviço mestre que os BATMs usam para carregar vídeos no CAS.
2. O invasor examinou o espaço de endereço IP gerenciado pelo host de nuvem DigitalOcean Ocean para identificar os serviços CAS em execução nas portas 7741, incluindo o serviço General Bytes Cloud e outros operadores BATM que executam seus servidores no Digital Ocean.
3. Explorando a vulnerabilidade, o invasor carregou o aplicativo Java diretamente no servidor de aplicativos usado pela interface de administração. O servidor de aplicativos foi, por padrão, configurado para iniciar aplicativos em sua pasta de implantação.
Uma vez que o aplicativo malicioso executado em um servidor, o agente de ameaça foi capaz de (1) acessar o banco de dados, (2) ler e descriptografar as chaves de API codificadas necessárias para acessar fundos em carteiras e exchanges quentes, (3) transferir fundos de carteiras quentes para uma carteira controlada pelo agente de ameaça, (4) baixar nomes de usuário e hashes de senha e desativar o 2FA, e (5) acessar os logs de eventos do terminal e procurar instâncias em que os clientes verificaram chaves privadas no caixa eletrônico. Os dados confidenciais na etapa 5 foram registrados por versões mais antigas do software ATM.
Clientes BATM por conta própria agora
No futuro, o post deste fim de semana disse, a General Bytes não gerenciará mais CASes em nome dos clientes. Isso significa que os detentores de terminais terão que gerenciar os próprios servidores. A empresa também está no processo de coleta de dados dos clientes para validar todas as perdas relacionadas ao hack, realizando uma investigação interna e cooperando com as autoridades na tentativa de identificar o agente da ameaça.
A General Bytes disse que a empresa recebeu "várias auditorias de segurança desde 2021" e que nenhuma delas detectou a vulnerabilidade explorada. A empresa está agora no processo de buscar mais ajuda para garantir seus BATMs.
O incidente ressalta o risco de armazenar criptomoedas em carteiras acessíveis pela Internet, comumente chamadas de carteiras quentes. Ao longo dos anos, as carteiras quentes foram ilegalmente drenadas de quantidades incontáveis de moedas digitais por invasores que exploram várias vulnerabilidades em infraestruturas de criptomoedas ou enganando os detentores de carteiras para fornecer as chaves de criptografia necessárias para fazer saques.
Os profissionais de segurança há muito aconselham as pessoas a armazenar fundos em carteiras frias, o que significa que eles não são diretamente acessíveis à Internet. Infelizmente, os BATMs e outros tipos de caixas eletrônicos de criptomoedas geralmente não podem seguir essa prática recomendada porque os terminais devem estar conectados a carteiras quentes para que possam fazer transações em tempo real. Isso significa que os BATMs provavelmente continuarão sendo um alvo principal para os hackers.
Nenhum comentário:
Postar um comentário